这个问题得分两个场景来看,即中小企业到底是使用公有云,还是使用私有云(或者自建服务器),不同的场景解决方案不一样
首先解释一下什么叫做DDOS。DDOS又叫做分布式拒绝服务攻击,简单的解释一下就是互联网有很多肉鸡同时向你的服务器发动攻击,消耗服务器的有限资源,所以拒绝服务攻击实际上是对你服务器的资源的一个消耗性攻击
举一个典型的例子,就是最常见的基于TCP的拒绝服务攻击。
假设你公司的服务器对外提供WEB服务,WEB是基于80端口的TCP服务,而一台服务器所支持的TCP的连接性能是有限的,例如可以同时支持10万个TCP连接
这时,攻击者从互联网控制1000台主机,每台主机向你发起100个TCP的80端口连接请求,然后不再响应服务器的回应,这时就会出现一个很奇怪的状态:你们公司服务器的10万个连接都被用了,但是这些都是没有后继过程的虚假连接。此时其他正常用户想看你们公司的网页,就会发现看不了,因为没有TCP资源了,这个就是拒绝服务攻击
因此从原理上看其实比较明显,要挡住拒绝服务攻击,就要挡住这种虚假的情求和连接。例如采取1个IP只能有2个连接的限制,或者加快删除这种虚假的连接,或者对TCP过程进行序列号校验。这种能够挡住对端攻击的设备,叫做防火墙
如果你使用公有云,那么你可用选择公有云上的服务,例如阿里云上就提供了对云服务器的安全保护功能。如果使用阿里云,你可用先评估你网站的安全风险,进行漏洞测试,然后你可用购买云防火墙来保护你的网站
阿里云还支持高防IP清洗,这个道理也不难,实际上就是把你的流量先引到专业的DDOS清理集群,把你的网站流量先清洗一遍,把攻击的流量识别并删除后,再送回你真实的服务器,这样就保证服务器被攻击前,攻击流量已经洗掉了
如果是企业自建的私有云或者仅仅是企业的单独的服务器需要保护,那就得买专门的Anti-DDoS防火墙。目前华为、山石、迈普、H3C都有这种防火墙设备,性能从百兆到万兆都有,价格也不贵。防止DDOS攻击是很成熟的技术,所有防火墙的标配
对于中小企业来说,我觉得防御DDOS最好的办法还是使用一些成熟的云服务器及其提供的DDOS攻击服务,如阿里云的高防IP。用户可通过配置高防IP,在遭受到DDOS攻击时将攻击流量引流到高防IP,确保源站的稳定可靠。
对中小企业来说DDOS难防御的主要原因有:
DDOS流量大,源站带宽成本高、服务器负载难以承受进而造成崩溃甚至宕机;
难以区分真实流量和虚假流量,无法有效做流量清洗;
可预见性差,不能及时发现并针对性作出快速处理;
防御手段落后,不能有效减弱DDOS带来的影响或者成本太高(如防火墙、通过CDN做负载均衡);
现在的几大云服务基本都有针对DDOS的防御服务,我们拿阿里云的举例
从上图可以看到阿里云提供的DDOS高防IP有如下优势:
有海量的带宽容量,这是中小企业无法自己做到的;
能自动检测和匹配预先设置好的攻击策略进而能在第一时间内作出有效的防护;
源站IP是被隐藏的,这可以保证我们的源站服务器不受DDOS影响;
阿里云本身作为一家经常承受海量DDOS的企业,其在DDOS防御领域的沉淀想必是值得我们去信任的。
